KRITIS – Informationssicherheit für Betreiber Kritischer Infrastrukturen

Wir leben in einer vernetzten und digitalisierten Welt, die ohne eine funktionsfähige Informationstechnik in diesem Maße nicht funktionieren könnte. Dies macht uns abhängig und unsere informationstechnischen Strukturen besonders schützenswert. Mit dem IT-Sicherheitsgesetz (ITSG) zur Erhöhung der Sicherheit informationstechnischer Systeme trägt die Bundesregierung diesem Rechnung. Hiervon besonders betroffen sind Betreiber Kritischer Infrastrukturen (KRITIS), die ein Mindestniveau an IT-Sicherheit einhalten und nachweisen müssen.

Kritische Infrastrukturen – was bedeutet das?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert KRITIS wie folgt: 

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

KRITIS Betreiber – Welche Sektoren und Branchen fallen darunter?

Bund und Länder haben sich gemeinsam auf eine Einteilung Kritischer Infrastrukturen verständigt.

KRITIS - Sektoren & Branchen - Vorschaubild

Wie können KRITIS Betreiber ein Mindestniveau an Sicherheit erreichen und nachweisen?

Der 1. Absatz von § 8a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) besagt, dass Betreiber Kritischer Infrastrukturen verpflichtet sind,

angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden."

Absatz 3 ergänzt, dass diese Anforderungen mindestens alle zwei Jahre auf geeignete Weise nachzuweisen sind. Wirklich konkret wird der Gesetzgeber an dieser Stelle nicht, er ergänzt allerdings, dass dies durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen könne.

Wie kann Lloyd’s Register Sie unterstützen?

Zum Nachweis des Mindestniveaus an Sicherheit empfehlen wir Ihnen neben anderen branchenspezifischen Standards den Einsatz eines zertifizierten ISMS (Managementsystem für Informationssicherheit) nach der international anerkannten Norm ISO 27001.

Lloyd’s Register arbeitet seit vielen Jahren im Bereich der Bewertung und Zertifizierung von Managementsystemen für Informationssicherheit. Unsere Auditoren sind Experten, die speziell für den Bereich der Informationssicherheit sowie für andere Aspekte der IT qualifiziert sind. Durch deren objektive Betrachtung stärken Sie Ihr Vertrauen in die eigenen Sicherheitsmaßnahmen.